# RainyDay > Tipo: **malware** · S0629 · [MITRE ATT&CK](https://attack.mitre.org/software/S0629) ## Descrição [[s0629-rainyday|RainyDay]] é uma ferramenta backdoor utilizada pelo [[g0019-naikon|Naikon]] (APT30), grupo de espionagem cibernética com nexo à China, desde pelo menos 2020. O [[g0019-naikon|Naikon]] é conhecido por operar na região da Ásia-Pacífico, com foco em alvos governamentais e militares de nações membros da ASEAN. O RainyDay funciona como um backdoor de segundo estágio que fornece acesso persistente às redes comprometidas. Suas capacidades incluem exfiltração para armazenamento em nuvem ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]), download e execução de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]), roubo de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]), e staging local de dados coletados ([[t1074-001-local-data-staging|T1074.001]]). O malware se masquera como serviços legítimos do Windows ([[t1036-004-masquerade-task-or-service|T1036.004]]) e usa múltiplos canais de fallback para comunicação C2 ([[t1008-fallback-channels|T1008]]). A exfiltração via armazenamento em nuvem é uma técnica notável do RainyDay, pois permite misturar o tráfego malicioso com comúnicações legítimas para serviços como Dropbox ou Google Drive, tornando a detecção baseada em análise de destino de rede menos eficaz. O malware também elimina arquivos após uso ([[t1070-004-file-deletion|T1070.004]]) para limpar rastros de comprometimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1106-native-api|T1106 - Native API]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Grupos que Usam - [[g0019-naikon|Naikon]] ## Detecção Detectar o RainyDay requer monitoramento de uploads anômalos para serviços de nuvem legítimos ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) por processos de sistema não esperados. Alertas para serviços Windows criados com nomes suspeitos ([[t1036-004-masquerade-task-or-service|T1036.004]]) e comunicação HTTP para múltiplos destinos alternados são sinais relevantes. Regras de detecção para acesso a arquivos de credenciais de navegadores por processos não-browser complementam a detecção comportamental. ## Relevância LATAM/Brasil O [[g0019-naikon|Naikon]] opera primariamente na Ásia-Pacífico, mas suas TTPs de espionagem são representativas de APTs de estado-nação que podem expandir operações para o LATAM, especialmente contra organizações brasileiras com presença em regiões de interesse estratégico da China. A técnica de exfiltração via nuvem ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]) é amplamente empregada por grupos que operam na América Latina, tornando o RainyDay um caso de estudo relevante para defesa regional. ## Referências - [MITRE ATT&CK - S0629](https://attack.mitre.org/software/S0629)